На крючке

Старшеклассник из Хьюстона Закария Кейт Хилл раньше убивал время, гоняя по улицам на Honda Accord с форсированным движком, практикуясь в плетении модных косичек и зависая в интернете. Зимой 2002 года, рыская по интернет-форумам, он познакомился с неким Майком из Нью-Йорка — 16-летним дерзким юнцом, который во всем, что касалось компьютеров, мог заткнуть за пояс любого хакера-хвастуна из чатов.
Знакомство переросло в виртуальную дружбу, а еще через пару месяцев друзья стали партнерами по преступному бизнесу. «Майк сказал тогда, что сможет бесплатно достать все, что я пожелаю», — вспоминает Хилл. На протяжении всего следующего года они с Майком рассылали «тысячи, тысячи и тысячи» поддельных электронных писем от имени интернет-провайдера AOL. Гиперссылка, размещенная в тексте письма, переадресовывала клиентов на виртуозно подделанную страничку AOL с анкетой, в которой адресат должен был указать номер своей пластиковой карты.
Используя эти номера, Хилл с подельником потратили в интернет-магазинах $47 000. Последнее, что успел купить по чужой карте Хилл перед арестом, — дорогой защитный коврик для аудиоколонок, установленных в багажнике автомобиля. Агенты ФБР обнаружили в компьютере мошенника номера 473 кредитных карт. Хилл пытался свалить всю вину на сообщника, но безуспешно: в мае прошлого года федеральный суд приговорил его к 46 месяцам лишения свободы в колонии облегченного режима в Бомонте, штат Техас (несовершеннолетний Майк был «всего лишь» оштрафован на $125 000). «Тут не так уж и плохо», — бодрится Хилл, облаченный в новенькую униформу заключенного. Он не раскаивается в своих преступлениях, и ему ничуть не жаль людей, ставших его жертвами. Хилл переживает только из-за того, что попался в руки блюстителей закона: «Не надо было покупать тот коврик».

Преступные сети

Таково новое «лицо» набирающей обороты интернет-преступности: в Сети орудуют не агенты «Аль-Каиды», не матерые уголовники и даже не гении вроде Кевина Митника, сумевшего в свое время проникнуть в компьютерное «сердце» подразделения компании Bell — Pacific Bell. Это обычные студенты, скучающие домохозяйки и мелкие мошенники, вдруг обнаружившие, что выманить у пользователей Сети номера банковских счетов и другую конфиденциальную информацию легче легкого.
Этот вид преступного промысла уже получил особое название — phishing («фишинг», искаженное fishing — «выуживание»). Действуют «фишеры» в точности как Закария Хилл — с помощью электронных писем от лица крупного поставщика товаров и услуг (например, Citibank, Visa или eBay) заманивают потенциальную жертву на фальшивую интернет-страницу этой компании, где многие и оставляют свои персональные данные. Очень часто преступники копируют оформление настоящих писем той или иной компании при помощи элементарных команд «копировать» и «вставить», так что распознать фальшивку крайне сложно.
Первый случай мошеннического использования поддельных сайтов был выявлен в 1996 году, но буйным цветом «фишинг» расцвел в последние два года, став для киберпространства тем же, чем крэк в свое время для рынка наркотиков: поддельный сайт столь же легко «изготовить», и «подсаживаешься» на phishing тоже моментально. Техническую поддержку новому поколению мошенников оказывают 50 с лишним команд профессиональных интернет-преступников, базирующихся в основном в странах Восточной Европы.
Советы, как создать подложный виртуальный магазин или украсть данные пластиковой карты, можно получить и на «тематических» интернет-форумах, и в российском журнале «Хакер». «Любой пользователь может скачать в интернете полный набор инструментов для создания поддельных сайтов абсолютно бесплатно», — рассказывает Джон Уоттерс, глава компании Idefense (Рестон, штат Виргиния), занимающейся обеспечением безопасности в интернет-пространстве.
«Выуженные» у пользователя данные — своеобразная валюта интернета. Для покупки в Сети или перевода денег на счет в какой-нибудь платежной системе необязательно иметь саму карточку, достаточно указать номер карты. А если преступник не хочет рисковать, он может в онлайновом режиме перепродать «выуженные» номера карт другим интернет-мошенникам — хоть оптом, хоть в розницу.
Купля-продажа краденых номеров кредитных карт превратилась в специфический вид преступного бизнеса, получивший название carding. Некоторые подпольные форумы, на которых идет торговля, даже составляют рейтинги надежности продавцов «выуженных» номеров — своеобразный криминальный вариант «форума обратной связи», существующего на сайте eBay. «Девственный» номер кредитной карточки (то есть номер, который никогда не использовался незаконно) стоит $2–3.
Действуют «удильщики» исключительно эффективно. По данным исследовательской компании Gartner Group, за период с апреля 2003 года по апрель 2004 года более 57 млн американцев получили подозрительные электронные письма. 1,8 млн человек клюнули на наживку, и в результате 980‑000 человек недосчитались денег на своих счетах. По подсчетам Gartner, каждый год «удильщики» незаконно получают товаров и услуг на $1,2 млрд. Следует прибавить к этой сумме расходы на программное обеспечение, призванное защитить пользователей от атак виртуальных преступников, имиджевые убытки, которые понесли от действий мошенников крупные корпорации, и стоимость рабочего времени, потраченного на ликвидацию последствий мошенничества. Точный размер ущерба определить крайне сложно. Но Шон Элдридж, глава Форума по надежным электронным коммуникациям (Trusted Electronic Communications Forum), говорит о $50 млрд в год.
Даже если человек, разгласивший данные своей пластиковой карты, успел спасти деньги, сообщив об инциденте в банк, его ждут недели нервотрепки. Ему придется блокировать старую карту и заводить новую, рассылать нотариально заверенные сообщения об этих переменах всем заинтересованным сторонам, отвечать на вопросы полиции. И помнить при этом, что его кредитная история испорчена.

Невидимая рука рынка

Правоохранительные органы предпочитают бороться с виртуальными преступниками по старинке, устраивая облавы и аресты. В конце августа в рамках операции «Западня во Всемирной паутине», проведенной министерством юстиции США, были арестованы 103 сетевых мошенника (53 из них уже осуждены), жертвами которых стали около 150 000 человек. Преступники похитили у них в общей сложности $215 млн. Кто из арестованных мошенников занимался «фишингом», сколько их было? Власти не хотят отвечать на этот вопрос.
Привлечь мошенников к уголовной ответственности столь же сложно, как поймать рыбу голыми руками. Конечно, даже у поддельного сайта есть свой адрес в Сети, его домен должен быть зарегистрирован на имя владельца сайта. Кроме того, нужно платить компании, которая осуществляет хостинг — предоставляет компьютерные мощности под размещение сайта. Но сайт можно зарегистрировать и на вымышленное имя, а за хостинг заплатить с краденой пластиковой карты.
В США можно было бы покончить с поддельными сайтами, обязав регистраторов доменов и хостинговые компании проверять клиентов по тем же стандартам, по которым это делают банки. Но какой от этого толк, если в интернете нет государственных границ? Стоит гражданину США зарегистрировать URL в Южной Корее, а хостинг своего сайта поручить, к примеру, украинской компании — и американским блюстителям закона придется преодолевать языковые барьеры, учитывать разницу во времени и наталкиваться на равнодушие коллег из других стран. И хотя средняя продолжительность жизни поддельного сайта, по данным некоммерческой организации Anti-Phishing Working Group, составляет 2,25 дня, этого времени достаточно, чтобы на‑наживку клюнули тысячи пользователей Сети.
Говорят, некая польская преступная группа предлагает клиентам «невидимый пуленепробиваемый хостинг». За $1500 в месяц поляки программными средствами направляют по ложному следу представителей правоохранительных органов, разыскивающих «левый» сайт. Широкое распространение получил офшорный «анонимный хостинг», когда хостинговые компании не требуют от хозяев сайтов никаких имен или адресов. Оплачивать услуги таких компаний можно наличными, поэтому у следователей просто нет возможности следить за денежными потоками. Наконец, с некоторыми странами, где «прописаны» мошеннические сайты — в частности, с Нигерией и Пакистаном, — у Соединенных Штатов сложные отношения.
«С правоохранительными органами некоторых государств у нас налажены неформальные отношения, и от них мы регулярно получаем интересующие нас сведения. Однако многие страны не проявляют особого желания сотрудничать с нами», — объясняет Скотт Кристи, сотрудник прокуратуры из Нью-Джерси, который ведет дела против русских и восточноевропейских хакерских команд и группировок, занимающихся аферами с кредитными картами.
Впрочем, органы указывают, что часть вины за бурное развитие «фишинга» лежит на индустрии онлайновой торговли. Виртуальные магазины, например, могли бы обязать клиентов указывать пароль или ПИН-код при совершении любых транзакций с использованием пластиковой карты, но усложнение процедуры покупки отобьет у многих пользователей охоту к‑интернет-шопингу. Можно было бы отказаться от доставки покупок по адресу, не совпадающему с местом жительства владельца пластиковой карты, но тогда из числа клиентов придется исключить людей, которые заказывают в Сети подарки друзьям и родственникам.
Есть у правоохранительных органов претензии и к эмитентам пластиковых карт. «Компании не информируют нас о возникающих проблемах, — негодует Брюс А. Таунсенд, заместитель директора Секретной службы — федерального агентства в структуре министерства национальной безопасности, в задачи которого входит борьба с мошенничеством в Сети. — В компаниях сектора финансовых услуг считают вполне приемлемым нести определенные убытки от мошенничества — им проще и дешевле мириться с проблемой, нежели пытаться решить ее».

Спасение утопающих

Конечно, попытки бороться с «фишингом» предпринимаются. Интернет-провайдер EarthLink из Атланты бесплатно распространяет программу ScamBlocker. Этот «страж» подает сигнал тревоги, если интернет-пользователь зашел на сомнительный веб-сайт. Таковыми ScamBlocker считает все сетевые ресурсы, хотя бы отчасти напоминающие классические phish-сайты. Например, расположенные в странах, облюбованных «фишерами», или на «числовом» домене — таком, как http://10.255.255.255/citibankbilling.
Многие кредитные учреждения по своей инициативе устанавливают у себя компьютерные программы, позволяющие распознавать подозрительные транзакции по кредитным картам. И если вам посчастливилось быть клиентом одного из таких банков, то вас непременно известят о том, что со счета, зарегистрированного в Питтсбурге, снято $1000 в Праге. Впрочем, преступники тоже знают об этом, поэтому, как правило, снимают деньги с чужого счета минимальными порциями время от времени. Такие операции зачастую остаются не замеченными владельцами кредитных карт и банками.
Клиенты не столь ответственных банков могут воспользоваться услугами агентств вроде TrueCredit или ConsumerInfo.com — примерно за $80 в год эти организации осуществляют постоянный мониторинг счетов своих подписчиков и предупреждают по электронной почте о появлении любых признаков, свидетельствующих о возможном хищении их персональных данных. Такими косвенными признаками считаются просьбы о выделении или продлении кредита, изменение адреса клиента, попытки получить определенную справочную информацию и т. д. «Мониторинг кредита — очень прибыльный бизнес для агентств, ведущих кредитные истории американцев», — утверждает Джей Фоули, содиректор некоммерческой организации Identity Theft Resource Center, занимающейся сбором информации о хищениях персональных данных.
Сейчас банки и карточные системы работают над внедрением новой формы платежа — для каждой онлайновой транзакции будет использоваться случайный уникальный номер, что позволит клиентам совершать покупки, не передавая по Сети настоящий номер пластиковой карточки. Кроме того, и Visa, и MasterСard предлагают держателям карт при совершении покупок в онлайне вводить дополнительный пароль. Наш совет: воспользуйтесь этой опцией.
Но основную ставку в борьбе с «фишингом» финансовые учреждения делают на разъяснительную работу с клиентами. Виртуальное мошенничество не разрослось бы до таких масштабов, если бы люди сами не сообщали «удильщикам» информацию о себе. В июле в США завершилась рекламная кампания Citigroup, рассказывавшая, как обезопасить себя от мошенников (из 1974 атак «фишеров», зафиксированных в июле, 35% были направлены против Citibank). Вслед за ней консорциум эмитентов кредитных карт YourCreditCardCompanies.com запустил по телевидению пропагандистскую кампанию с тем же сюжетом. Visa открыла общенациональную горячую телефонную линию для людей, ставших жертвами преступников, промышляющих воровством персональной информации.
Возможно, банки и торговые компании со временем придумают более эффективные способы защиты от виртуальных мошенников. Но пока за все отвечают их клиенты — ведь свои убытки финансисты и торговцы компенсируют за счет повышения цен на свои товары и услуги.

Способы обмана

Провернуть «фишинг-аферу» легче легкого благодаря доступности в интернете программных «конструкторов» для создания поддельных сайтов. Но есть и другие способы сетевого надувательства.

• Вирусы «Троянские кони» — программы, маскирующиеся под безобидное письмо. «Троян», попав в ваш компьютер, дает своему автору доступ к содержимому жесткого диска ПК через интернет.
• Зомби Компьютер, зараженный вирусом, может стать «зомби» — злоумышленник, управляя вашим ПК через сеть, может тайком рассылать с него спам, покупать товары или атаковать другие компьютеры.
• Почта Подделка электронного письма от конкретного человека, знакомого адресату. Получатель обязательно откроет такое письмо — таким образом на его компьютер и может попасть «троянский конь».
• Клавиши Программа-шпион, занесенная злоумышленниками на ваш компьютер, может копировать через Сеть своему автору все, что вы «набиваете» на клавиатуре — в том числе пароли и коды доступа.

В Россию закинули удочку

До последнего времени жертвами российских интернет-мошенников становились преимущественно граждане иностранных государств. Так, например, еще в 2000 году четверо юных хакеров создали фальшивый магазин «Политшоп», за товары которого (в реальности не существующие) расплачивались сами — с использованием краденых номеров пластиковых карточек жителей Австралии, Англии, Испании, Франции, США. Сами же получали и деньги, списываемые с банковских счетов. По той же технологии работал магазин «Алексия-Х», деятельность которого сотрудники правоохранительных органов прекратили в 2001 году.
Но в начале этого года уже на российских клиентов Citibank посыпались фальшивые электронные письма, ведущие на любовно скопированный сайт банка, — якобы «из-за технического сбоя в программе» нужно было обновить информацию о номере и ПИН-коде пластиковой карточки. Московский офис Citibank через прессу оповестил общественность, что не имеет к этой афере никакого отношения. Сколько клиентов успели попасться на удочку, в банке, естественно, не разглашают. Глава банка Алан Хёрст лишь объявил, что проблемы клиентов (если таковые возникнут) будут решаться индивидуально. Однако мошенники, вероятно, старались не зря. Иначе как объяснить тот факт, что 22–24 сентября они вновь раскинули сети?
На этот раз электронное письмо сообщало клиенту Citibank, что на его счет поступила довольно крупная сумма в долларах США. Потенциальной жертве нужно было всего лишь «зайти в систему интернет-банкинга Citibank Online и подтвердить перевод». Уже 30 сентября пресс-секретарь Citibank Люси Боцан сообщила Forbes, что сайт, на который вели эти письма, ликвидирован. «Сейчас мы вместе с силовыми структурами устанавливаем, кто его создал», — пояснила она.
За семь месяцев этого года только в Москве выявлено более 180 «эпизодов мошенничества с банковскими картами» — в полтора раза больше, чем за аналогичный период прошлого года. По словам заместителя начальника 6-го отдела Управления по борьбе с экономическими преступлениями (УБЭП) ГУВД Москвы Константина Рыжкина, по 50‑эпизодам возбуждены уголовные дела. Сотрудники УБЭП «выявляли факты о краже с карт как‑2 рублей, так и $20‑000». Рыжкин делает смелое предположение, что объем мошеннических операций в России достиг $20 млн, или 0,1% от общего оборота пластиковых карт (то‑есть каждый тысячный доллар достается мошенникам).
По словам банковских специалистов, наиболее распространенным в России способом использования чужой карточки остается создание клона. Мошенники считывают с магнитной полосы карты секретную информацию, когда клиент ненадолго оставил ее вне поля зрения — в ресторанах, казино, фитнес-центрах. Были зафиксированы случаи, когда преступники устанавливали в банкоматы собственные устройства для считывания информации с магнитной ленты и миниатюрную видеокамеру, фиксирующую момент набора ПИН-кода. Этой информации хватает, чтобы из куска пластика сделать копию карточки и снять деньги в ближайшем же банкомате.   
—Наталия Орлова

Берегитесь ловушек

По данным некоммерческой организации Anti-Phishing Working Group, число атак «фишеров» по всему миру выросло со 176 в январе до 1974 в июле. В ходе некоторых атак мошенники рассылают сотни тысяч и даже миллионы поддельных электронных писем. Как уберечься от злоумышленников? Прежде всего никогда не используйте высланные по электронной почте гиперссылки, чтобы зайти на сайт вашего поставщика товаров и услуг. Вы можете оказаться вовсе не там, куда направлялись.
Обратите внимание, что банки и интернет-торговцы никогда не требуют подтвердить ПИН-кодом указанный вами в электронной переписке номер пластиковой карты. Если пришедшее от банка письмо вызвало у вас подозрения — не ленитесь, позвоните по телефону «горячей линии», указанному на вашей пластиковой карте.
Почаще проверяйте состояние вашего карточного счета. Каждый эмитент пластиковых карт дает клиенту определенный срок, в течение которого можно опротестовать ложный платеж.
Крайне важно регулярно проверять, «чист» ли ваш компьютер от шпионских программ и вирусов. Не забывайте обновлять установленные на вашем ПК программы для защиты от вирусов и несанкционированного проникновения через интернет.
Храните информацию о номере и ПИН-коде вашей пластиковой карты в безопасном месте. И, наконец, последнее. Вы же не используете одни и те же ключи, чтобы открывать офис, квартиру и автомобиль? Так почему же у вас один и тот же пароль на всех сайтах в интернете?

Почта с «душком»

Внимательный адресат может отличить поддельное электронное письмо от настоящего, не обращаясь к специалистам. Письма «с наживкой» от мошенников имеют ряд характерных особенностей. Среди них:
— грамматические ошибки;
— безапелляционное требование передать автору послания персональные данные адресата, угроза прервать отношения с адресатом письма, если требование не будет выполнено;
— замысловатый домен, на котором располагается сайт. Обратите внимание, что те разделы настоящих сайтов компаний и банков, в которых содержатся персональные данные клиентов, обычно располагаются по адресам, начинающимся с https (s означает security), а не с http;
— страница сайта, на которую приводит гиперссылка из письма «фишеров», в свою очередь не содержит ссылки на головную страницу (home page) этого веб-ресурса.